SNMP协议分析

SNMP协议分析

摘要:当今由路由器、交换机、服务器组成的复杂的网络，确保所有的设备正常运行且处于最佳状态确实是一件困难的事情。为了解决这个问题在1988年正式推出了简单网络管理协议（SNMP）。利用SNMP只需一些“简单”的操作便可实现对网络设备的远程管理。但同时SNMP是威胁安全的十大首要因素之一。

目录：

1SNMP简介 (2)

１.１SNMP版本 (2)

１.２管理端和agent (2)

１.３SNMP 和UDP (2)

２管理对象 (3)

２.1SMI和MIB (3)

２.２OID命名 (3)

２.３管理信息结构 (4)

３SNMP 操作 (5)

４SNMP V3 (5)

４.1SNMPv3的变化 (6)

４.2SNMPv3引擎 (6)

４.３SNMPv3 应用程序 (6)

４.４SNMPv3 安全机制 (6)

５SNMP受到的安全威胁 (7)

５.1拒绝服务攻击DOS (7)

５.2流量分析攻击 (8)

５.３认证机制漏洞 (8)

1SNMP简介

SNMP可以用于管理很多类型的设备,其核心是帮助网络管理员简化对一些

支持SNMP设备设置的操作（也包括这些信息的收集）。例如，使用SNMP可以关闭路由器的一个端口，也可以查看以太网端口的工作速率。SNMP还可以监控交换机的温度，在出现过高现象进行报警。

１.１SNMP版本

IETF负责定义互联网流量监管的标准，这里面包括SNMP。IETF发行的RFCs，对IP领域中的众多协议进行了详细的阐述。下面列举了一些当前的SNMP版本。1）SNMP V1是SNMP协议的最初版本，不过依然是众多厂家实现SNMP基本方式。2）SNMP V2通常被指是基于community的SNMP V2。Community实质上就是密码。3）SNMPv3 是最新版本的SNMP。它对网络管理最大的贡献在于其安全性。增加了对认证和密文传输的支持。

１.２管理端和agent

SNMP有2个主体：管理端和agent。

管理端指的是运行了可以执行网络管理任务软件的服务器，通常被称作为网络管理工作站（NMS）,NMS负责采样网络中agent的信息，并接受agent的trap。

Agent是运行在可网络设备上的软件。可以是一个独立的程序（在Unix中叫守护进程），也可以是已经整合到操作系统中（比如：锐捷路由器的RGNOS，或者UPS中的底层操作系统）。

NMS和Agent工作示意图

１.３SNMP 和UDP

SNMP采用UDP协议在管理端和agent之间传输信息。 SNMP采用UDP 161

端口接收和发送请求，162端口接收trap，执行SNMP的设备缺省都必须采用这些端口。

SNMP的TCP/IP通信模型

２管理对象

２.1SMI和MIB

基本管理信息(MIB)可以理解成为agent维护的管理对象数据库，MIB中定义的大部分管理对象的状态和统计信息都可以被NMS访问。MIB是一个按照层次结构组织的树状结构，每个被管对象对应树形结构的一个叶子节点，称为一个object，拥有唯一的数字标识符。

SMIv1（RFC1155定义）对管理对象是如何命名的、管理对象的数据类型进行了详细的描述。规定MIB中对象的命名方式、数据类型、编码和传输方式，是定义MIB必须遵循的标准。

２.２OID命名

每个管理对象都有自己的OID(Object Identifier)，管理对象通过树状结构进行组织，OID由树上的一系列整数组成，整数之间用点( . )分隔开，树的叶子节点才是真正能够被管理的对象。

SMI对象树

２.３管理信息结构

SNMP中，数据类型并不多。SMIv1定了多种对于网络设备来说非常重的数据类型，这些数据定义了管理对象包含哪些信息。

SMIv1支持的常见的数据类型。

数据类型描述

INTEGER 32位的数字，指定某个可以数字表示的管理对象内容。例如路由器接口的状态可能是up、down、或者test，用数据的方式表示，1表示up，2表示down，3表示testing，根据RFC1153种提到的，0不能用作数值类型。

OCTET STRING 表示文本字符串，0个或者更多的字节。经常被用作表示无力地址

Counter 32位数字，0~232- 1 (4,294,967,295). 当达到最大值后，又从0开始计数。一般用于端口上发送/接收的字节数，或者端口上看到的错误数、丢弃数。计数值是一直往上增长的。当agent重启，所有的计数清0。

OBJECT IDENTIFIER 跟有点的十进制值组成的符号，代表对象树上的某个管理对性。例如1.3.6.1.4.1.4881 代表锐捷网络private enterprise OID.

IpAddress 代表32位的IPv4地址.SMIv1和SMIv2都没有对128位的IPv6地址的描述。

NetworkAddress

类似于IP地址类型，但可以代表不同的网络地址类型

TimeTicks 在 0 ~~ 232- 1之间的32位数值 (4,294,967,295).以0.01秒的粒度计算TimeTicks。设备的Uptime就是TimeTicks 类型

Opaque

允许其他所有的ASN.1编码到一个8位字符中

３SNMP 操作

已经讨论了SNMP是如何组织信息的，PDU是管理端和agent用于发送和接收这些管理信息的消息。

SNMP报文格式

以下是几种常见的SNMP操作。

get-request操作：从代理进程处提取一个或多个参数值

get-next-request操作：从代理进程处提取紧跟当前参数值的下一个数值。

set-request操作：设置代理进程的一个或多个参数值

get-response 操作：返回的一个或多个参数值。这个操作是由代理进程发出的，它是前面三种操作的响应操作。

trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。

４SNMP V3

SNMPv3是为了解决SNMPv1和SNMPv2的安全问题而推出的，SNMPv3支持SNMPv1和SNMPv2的所有操作。

４.1SNMPv3的变化

除了安全方面得到加强，SNMPv3还增加了一些约定、概念、术语。最为重要的变化是，V3摒弃了管理端和agent的叫法，两者都被称作是SNMP实体。每个实体都是由一个SNMP引擎以及一个或者多个SNMP应用程序组成的。

４.2SNMPv3引擎

每个SNMP实体仅包含一个SNMP引擎，作为一个实体的SNMPv3代理器必须拥有一个唯一的引擎标识，即SnmpEngineID。

引擎包括四个部分：传送器, 消息处理子系统，安全子系统，访问控制子系统。传送的器的任务是发送和接收消息，判断每个收到消息的版本，将消息发给消息子系统，传送器也会将SNMP消息发送给其他的实体。消息处理子系统提供准备发送的消息，从接收到的消息中提取数据。安全子系统提供认证和安全服务。访问控制子系统负责控制MIB对象的访问，可以控制用户访问的MIB对象以及允许进行的操作。

４.３SNMPv3 应用程序

SNMPv3的应用程序都可以分为以下几个部分：

1）Command generator

命令发生器，发出get，getnext，getbulk以及set请求和响应命令。

2）Command responder

命令响应器，负责响应get，getnext，getbulk以及set请求。

3）Notification originator

通告信息产生器，发出SNMP traps和notifications。

4）Notification receiver

通告信息接收器，接收traps和通告消息。

5）Proxy forwarder

在实体之间中继消息。

４.４SNMPv3 安全机制

SNMPv3 弥补了前两个版本在安全方面的缺陷, 增加了以下内容:

1) 使用USM 负责对用户认证和对报文加密解密;

2) 引入VACM 使得MIB 库访问权限的控制和管理更加严谨。

４.４.１身份认证

身份认证是指通过数字签名技术使得SNMP 实体在接收到消息后确认消息是否来自授权实体, 并且确保消息在输出过程中未被改变的过程。

USM使用HMAC 算法进行消息认证, 管理与代理共享同一密钥(privkey),此密钥由口令通过MD5 或是SHA 算法获得,管理者以该密钥和待传输的消息作为

HMAC算法的输入, 通过该算法计算出MAC(Message Authentication Code,消息认证码)；然后将其加入消息的msgAuthenti-cationParameters字段中传输,代理收到该消息后使用同一密钥计算该消息的MAC, 并与收到的MAC 进行比较,

如果匹配, 则认为消息可靠, 否则, 认为不可靠, 拒绝接受并返回错误信息。４.４.２加密

对发送的数据消息进行加密, 保护消息在传输中不被泄漏和篡改。采用对称加密体制, 即加密过程需要管理者和代理共享同一密钥, 该密钥由口令通过

MD5 算法获得。USM使用CBC-DES对称加密算法, 仅对报文中的上下文和PDU 组成的scoped PDU 部分进行加密。

４.４.３访问控制机制

SNMPv3 访问控制是一种PDU级的安全机制。当代理收到数据信息后, 首先

通过调用消息处理模块和安全模块对数据信息进行认证检测和解密, 然后才会

通过命令响应器调用访问控制模块对PDU 进行相关处理。对用户访问控制权限

的管理是通过组来实现的, 具有相同访问权限的用户划归为同一组, 通过改变

组的访问权限实现对用户访问权限的控制。

５SNMP受到的安全威胁

主要威胁包括信息修改、未授权访问。

信息修改：是指一些非授权实体可能改变由另一个授权实体产生的消息。

未授权访问：是指一个实体伪装成一个授权实体来进行它无权进行的操作。

第二层次的威胁包括泄密、消息流修改。

泄密：是指窃听代理和管理站之间的数据交换。

消息流修改：消息流修改是指消息可能被恶意地重排、延迟或者重发。

第三层次的威胁包括拒绝服务、流量分析。

拒绝服务：攻击者阻止管理站和代理之间的信息交换。

流量分析：攻击者观测管理站和代理之间流量的一般模式。

SNMP2.0和SNMP1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信，就可以利用各种嗅探工具直接获取通信字符串，即使用户改变了通信字符串的默认值也无济于事。

SNMPv3中增加了安全模块使得网络免受数据篡改、伪装、消息修改等攻击。但是现有的SNMPv3安全机制还不够完善, 不能有效避免以下三种攻击:

５.1拒绝服务攻击DOS

拒绝服务攻击不是以获得网络的控制权和信息的访问权为目的, 而是为了

使网络服务不能正常运行和提供。拒绝服务攻击的目的是通过将网络、操作系统或应用程序的有限资源耗尽, 使得它们不能够正常工作。其手段包括: 洪泛攻击, 使得网络接口瘫痪; 干扰两台机器之间的连接; 阻止个人访问服务等等。

５.2流量分析攻击

攻击者通过监测管理者和代理者之间传输的数据来获取有用信息。

５.３认证机制漏洞

2008-6-16 US-CERT和其他机构警告企业，SNMP协议现在的版本存在严重漏洞,这个漏洞可以允许黑客绕过协议认证机制,伪装合法用户。这个漏洞可以使黑客在受影响的系统上完成一切合法用户可以完成的行为。漏洞存在于SNMPv3的认证机制中，该机制使用键入的Hash Message Authentication Code (HMAC)。这是一种组合了密码算法散列式及密码密钥的运算，SNMPv3的执行方法允许以缩短的HMAC编码以最少的HMAC字节（一个字节）使用在认证人栏位中认证代理，而将HMAC减少至一个字节是暴力破解法变得可行。黑客可以通过向受影响的计算机发送特制信息包利用这些缺陷，可以查看并改变受到威胁的设备配置。

网络协议分析实验报告

实 验 报 告 课程名称 计算机网络 实验名称 网络协议分析 系别 专业班级 指导教师 学号 姓名 实验日期 实验成绩 一、实验目的 掌握常用的抓包软件，了解ARP 、ICMP 、IP 、TCP 、UDP 协议的结构。 二、实验环境 1．虚拟机（VMWare 或Microsoft Virtual PC ）、Windows 2003 Server 。 2．实验室局域网，WindowsXP 三、实验学时 2学时，必做实验。 四、实验内容 注意：若是实验环境1，则配置客户机A 的IP 地址:192.168.11.X/24,X 为学生座号；另一台客户机B 的IP 地址:192.168.11.（X+100）。在客户机A 上安装EtherPeek （或者sniffer pro ）协议分析软件。若是实验环境2则根据当前主机A 的地址，找一台当前在线主机B 完成。 1、从客户机A ping 客户机B ，利用EtherPeek （或者sniffer pro ）协议分析软件抓包，分析ARP 协议； 2、从客户机A ping 客户机B ，利用EtherPeek （或者sniffer pro ）协议分析软件抓包，分析icmp 协议和ip 协议； 3、客户机A 上访问 https://www.360docs.net/doc/3313321098.html, ，利用EtherPeek （或者sniffer pro ）协议分析软件抓包，分析TCP 和UDP 协议； 五、实验步骤和截图（并填表） 1、分析arp 协议，填写下表 客户机B 客户机A

2、分析icmp协议和ip协议，分别填写下表 表一：ICMP报文分析

3、分析TCP和UDP 协议，分别填写下表

SNMP(简单网络管理协议)

SNMP(Simple Network Management Protocol,简单网络管理协议) 通信线路进行管理。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台，现在SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。说白了就是一网管系统。网络管理功能一般分为性能管理，配置管理，安全管理，计费管理和故障管理等五大管理功能。 Windows NT是纯32位操作系统，采用先进的NT核心技术。Windows NT Workstation的设计目标是工作站操作系统，适用于交互式桌面环境；Windows NT Server的设计目标是企业级的网络操作系统，提供容易管理、反应迅速的网络环境。两者在系统结构上完全一样，只是为适应不同应用环境在运行效率上做相应调整。 另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求，即在防火墙或边界路由器上，阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口，厂商私有的实现一般使用199、391、705和1993端口。禁用这些端口通信后，外部网络访问内部网络的能力就受到了限制；另外，在内部网络的路由器上，应该编写一个ACL，只允许某个特定的可信任的SNMP管理系统操作SNMP 1.按应用层次划分为入门级服务器、工作组级服务器、部门级服务器和企业级服务器四类。 (1)入门级服务器 (2)工作组级服务器 (3)部门级服务器 (4)企业级服务器 2.按服务器的处理器架构（也就是服务器CPU所采用的指令系统）划分把服务器分为CISC（复杂指令集）架构服务器、RISC架（精简指令集）构服务器和VLIW架构服务器三种。 (1)CISC架构服务器 (2)RISC架构服务器 (3)VLIW架构服务器 3.按服务器按用途划分为通用型服务器和专用型服务器两类。 (1)通用型服务器 (2)专用型服务器 4.按服务器的机箱结构来划分，可以把服务器划分为“台式服务器”、“机架式服务器”、“机柜式服务器”和“刀片式服务器”四类。 (1)台式服务器 (2)机架式服务器 (3)机柜式服务器 (4)刀片式服务器 入门级服务器通常只使用一到两颗CPU，主要是针对基于Windows NT，NetWare等网络操作系统的用户，可以满足办公室型的中小型网络用户的文件共享、打印服务、数据处理、Internet接入及简单数据库应用的需求，也可以在小范围内完成诸如E-mail、Proxy 、DNS等服务。

snmp协议的分析

竭诚为您提供优质文档/双击可除 snmp协议的分析 篇一：实验三snmp协议分析 实验三snmp协议分析 一、实验目的 （1）掌握嗅探工具ethereal协议分析软件的使用方法（2）利用ethereal软件工具截snmp数据包并完成报文分析 二、实验环境 局域网，windowsserver20xx，snmputil，ethereal，superscan 三、实验步骤（0、snmp的安装配置） 1、理解应用层snmp协议工作原理； 2、使用windows平台上的snmputil.exe程序实现snmp 交互； 3、利用协议分析和抓包工具ethereal抓取分析snmp 协议报文。 四、实验内容 内容一：

1.打开ethereal软件开始抓包， 输入命令: snmputilget[目标主机ip地址]团体 名.1.3.6.1.2.1.1.2.0停止抓包。对snmp包进行过滤。(给出抓包结果截图) 2.找出一对snmp协议请求包和相对应的应答包。给出抓包结果截图。 3.对上面这对请求和应答包进行分析，根据snmp协议数据包格式填值。 请求包报文分析 应答包报文分析 内容二： 1.通过snmptuil.exe与snmp交互： 输入snmputilwalk[目标主机ip地址]团体 名.1.3.6.1.2.1.1命令列出目标主机的系统信息。 2.打开ethereal软件开始抓包，再次输入上面命令后，停止抓包。对snmp包进行过滤。给出抓包结果截图。 3.找出一对snmp协议请求包和相对应的应答包。给出抓包结果截图。 4.对上面这对请求和应答包进行分析，根据snmp协议数据包格式填值。 请求包报文分析

网络层协议分析实验报告

（1）写出ping和tracert命令的格式和主要参数意义。 1）ping命令格式： ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j -Host list] | [-k Host-list] [-w timeout] destination-list ping命令参数： -t ping 指定的计算机直到中断。ctrl+c停止 -a 将地址解析为计算机名。 -n count 发送count 指定的echo 数据包数。默认值为4。 -l length 发送包含由length 指定的数据量的echo 数据包。 - f 在数据包中发送“不要分段”标志。数据包就不会被路由上的网关分段。 -i ttl 将“生存时间”字段设置为ttl 指定的值。 -v tos 将“服务类型”字段设置为tos 指定的值。 -r count在“记录路由”字段中记录传出和返回数据包的路由； -s count 指定count 指定的跃点数的时间戳。 -j computer-list 利用computer-list 指定的计算机列表路由数据包。 -k computer-list利用computer-list 指定的计算机列表路由数据包。 -w timeout 指定超时间隔，单位为毫秒。 destination-list 指定要ping 的远程计算机。 2）tracert 命令格式： tracert [-d] [-h maximum_hops] [-j computer-list] [-w timeout] target_name -d 指定不将地址解析为计算机名。 -h maximum_hops 指定搜索目标的最大跃点数。 -j computer-list 指定沿computer-list的稀疏源路由。 -w timeout 每次应答等待timeout指定的微秒数。 target_name 目标计算机的名称。 （2）判断一下ping命令中会出现哪些ICMP报文类型。 在ping命令中，可能会出现的ICMP报文类型有一下几种：目的站不可达；数据包超时；数据包参数错误；回答请求；回答应答；地址掩码请求；地址掩码应答；路由器恳求；

H3C配置SNMP协议

H3C配置SNMP协议 1.使用telnet登陆设备 System-view Snmp-agent Snmp-agent community read public Snmp-agent sys-infoversion all Dis cur Save 保存 配置完成。。 1.1 概述 SNMP是Simple Network Manger Protocol（简单网络管理协议）的缩写，在1988 年8月就成为一个网络管理标准RFC1157。到目前，因众多厂家对该协议的支持， SNMP已成为事实上的网管标准，适合于在多厂家系统的互连环境中使用。利用SNMP 协议，网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规 划，网络监控和管理是SNMP的基本功能。 SNMP是一个应用层协议，为客户机/服务器模式，包括三个部分： ●SNMP网络管理器 ●SNMP代理 ●MIB管理信息库 SNMP网络管理器，是采用SNMP来对网络进行控制和监控的系统，也称为NMS (Network Management System)。常用的运行在NMS上的网管平台有HP OpenView 、CiscoView、CiscoWorks 2000，锐捷网络针对自己的网络设备，开发了 一套网管软件－－Star View。这些常用的网管软件可以方便的对网络设备进行监控和 管理。 SNMP代理（SNMP Agent）是运行在被管理设备上的软件，负责接受、处理并且响 应来自NMS的监控和控制报文，也可以主动发送一些消息报文给NMS。 NMS和Agent的关系可以用如下的图来表示： 图1 网络管理站（NMS）与网管代理（Agent）的关系图

实验五-IP协议分析

实验五IP协议分析 在这个实验里，我们将研究IP协议，通过执行traceroute程序来分析IP数据包发送和接收的过程。我们将研究IP数据包的各个字段，详细学习IP数据包的分片。 一、捕获traceroute 为了产生一个IP数据包，我们将使用traceroute程序来向一些目的地发送不同大小的数据包，这个软件我们在第一个实验已作过简单的尝试了。 但我们试图在IP头部首先发送一个或者更多的具有TTL的数据包，并把TTL的值设置为1；然后向同一个目的地发送一系列具有TTL值为2的数据包；接着向同一个目的地发送一系列具有TTL值为3的数据包等等。路由器在每次接收数据包时消耗掉一个TTL，当TTL达到0时，路由器将会向源主机返回一个ICMP的消息（类型为11的TTL溢出），这样一个TTL值为1的数据包将会引起路由器从发送者发回一个ICMP的TTL溢出消息产生一跳，TTL值为2的数据包发送时会引起路由器产生两跳，TTL值为3的数据包则会引起路由器产生3跳。基于这种方式，主机可以执行traceroute观察ICMP的TTL溢出消息，记录每个路由器的ICMP的溢出消息的源IP地址，即可标识出主机和目的地之间的所有路由器。 我们要运行traceroute让它发送多种长度的数据包，由Windows提供的tracert程序不允许改变由tracert程序发送的ICMP的回复请求消息的大小，在Windows下比较好的一个是pingplotter，它可以在以下网站下载共享版本（现在已下载好存在共享文件夹的压缩包中）： 安装pingplotter标准版（你有一个30天的试用期），通过对你所喜欢的站点执行一些traceroute来熟悉这个工具。ICMP回复请求消息的大小可以在pingplotter中设置：Edit-> Options->Default Setting->enginet，在packet size字段中默认包的大小是56字节。pingplotter 发送一系列TTL值渐增的包时，Trace时间间隔的值和间隔的个数在pingplotter中能够设置。 按下面步骤做： 1启动Iris，开始包捕获； 2启动pingplotter，然后在“Address to Trace”窗口输入目的地目标的名字：

实验1：网络数据包的捕获与协议分析

实验报告 （ 2014 / 2015 学年第二学期） 题目：网络数据包的捕获与协议分析 专业 学生姓名 班级学号 指导教师胡素君 指导单位计算机系统与网络教学中心 日期2015.5.10

实验一：网络数据包的捕获与协议分析 一、实验目的 1、掌握网络协议分析工具Wireshark的使用方法，并用它来分析一些协议； 2、截获数据包并对它们观察和分析，了解协议的运行机制。 二、实验原理和内容 1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则 三、实验环境以及设备 Pc机、双绞线、局域网 四、实验步骤 1.用Wireshark观察ARP协议以及ping命令的工作过程： （1）打开windows命令行，键入“ipconfig -all”命令获得本机的MAC地址和缺省路由器的IP地址；结果如下： （2）用“arp -d”命令清空本机的缓存；结果如下 （3）开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包。（4）执行命令：ping https://www.360docs.net/doc/3313321098.html,,观察执行后的结果并记录。

此时，Wireshark所观察到的现象是:(截图表示) 2.设计一个用Wireshark捕获HTTP实现的完整过程，并对捕获的结果进行分析和统计。（截 图加分析） 3.设计一个用Wireshark捕获ICMP实现的完整过程，并对捕获的结果进行分析和统计。要求：给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容，并分析该ICMP 报文。（截图加分析） 4. 设计一个用Wireshark捕获IP数据包的过程，并对捕获的结果进行分析和统计（截图加分析） 要求：给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容，并分析在该数据包中的内容：版本首部长度、服务类型、总长度、标识、片偏移、寿命、协议、源Ip地址、目的地址 五、实验总结

SNMP协议

SNMP的前身是简单网管监控协议用来对通信线路进行管理对后人们对SGMP进行了很大的修改特别是加入了符合INTERNET定义的SMI和MIB；体系结构改进后的协议就是著名的SNMP。SNMP的目标是管理互联网INTERNET上众多厂商生产的软硬件平台，因此SNMP收到INTERNET标准网络管理框架的应先也很大。现在SNMP已经出到第三个版本的协议，其功能教以前已经大大地加强了和改进了。SNMP的体系结构是围绕一下四个概念和目标进行设计的保持管理代理（AGENT）的软件成本尽可能低；最大限度地保持远程管理功能，以便充分利用INTERNET的网络资源；体系结构必须有扩充的余地；保持SNMP的独立性，不依赖于具体计算、网管和网络传输协议。在最近的改进中，又加入了保证SNMP体系本身系统安全性的目标。 SNMP风险 接入INTERNET的网络面临许多风险，WEB服务器可能面临攻击，邮件服务器的安全也令人担忧。但除此之外，网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务，许多时候这些SNMP服务是不必要的，但却没有引起网络管理员的重视。 根据SANS协会的报告，对于接入INTERNET的主机，SNMP是威胁安全的十大首要因素之一；同时，SNMP还是INTERNET主机上最常见的服务之一。特别的，SNMP 服务通常在位于网络边缘的设备（防火墙保护权之前爱的设备）上运行，进一步加剧了SNMP带来的风险。这一切听起来出人意料但其实事情不应该是这样的。 一、背景知识 SNMP开发与九十年代早期，其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包，如HP的OPENVIEW和NORTEL NETWORKS的OPTIVITY NETWORK MANAGEMENT SYSTEM，还有MULTI ROUTER TRAFFIC GRAPHER （MRTG）之类的免费软件，都用SNMP服务来简化网络管理和维护。 由于SNMP效果实在太好了，所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天，各种网络设备上都可以看到默认用的SNMP服务，从交换机到路由器，从防火墙到网络打印机，无一例外。 仅仅是分布广泛还不足以造成威胁，问题是许多厂商安装的SNMP都采用了默认的通信字符串（例如密码），这些通信字符串是程序获取设备信息和修改必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备，无需通过复杂的配置。 通信字符串主要包含两类命令：GET命令、SET命令。GET命令从设备读取数据，这些数据通常是操作参数，例如连接状态、接口名称等。SET命令允许设置设备某些参数。这类功能一般有限制，例如关闭某个网络接口、修改路由器参数等功能。但很显然，GET\SET命令都可能被利用与拒绝服务攻击和恶意修改网络参数。 SNMP2.0和SNMP1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦不活了网络通信，就可以利用各种嗅探工具直接获取通信字符串，即是哟过户改变了通信字符串默认值也无济于事。 近几年才出现的SNMP3.0解决了一部分问题，为保护通信字符串，SNMP3.0使用DES算法加密数据通信；另外，SNMP3.0还能够用MD5和SHA技术技术验证节点的标识符，从而防止攻击者冒充管理节点的身份操作网络 虽然SNMP3.0出现已经有一段时间了，但目前还没有广泛应用。如果设备是2、3年前的产品，很可能根本不支持SNMP3.0，甚至有些交心的设备也只有SNMP2.0或SNMP1.0。

实验三 DNS 协议分析

Q1.运行nslookup，查询并记载你的本地DNS 服务器名称及其IP地址，https://www.360docs.net/doc/3313321098.html, 的 权威DNS 服务器名称及其IP地址； 答：本地DNS 服务器名称及其IP地址：https://www.360docs.net/doc/3313321098.html,，210.33.16.2 https://www.360docs.net/doc/3313321098.html, 的权威DNS 服务器名称及其IP地址： https://www.360docs.net/doc/3313321098.html, internet address = 210.33.16.3 https://www.360docs.net/doc/3313321098.html, internet address = 210.33.16.2 Q2.运行nslookup，查询并记载https://www.360docs.net/doc/3313321098.html, 的IP 地址、其权威DNS 服务器名称 和IP地址； 答：https://www.360docs.net/doc/3313321098.html,的IP 地址：61.153.22.54 权威DNS 服务器名称和IP地址： https://www.360docs.net/doc/3313321098.html, internet address = 221.204.186.6 https://www.360docs.net/doc/3313321098.html, internet address = 115.236.151.140 https://www.360docs.net/doc/3313321098.html, internet address = 119.167.195.8 https://www.360docs.net/doc/3313321098.html, internet address = 183.60.59.232 https://www.360docs.net/doc/3313321098.html, internet address = 183.60.57.139 https://www.360docs.net/doc/3313321098.html, internet address = 183.60.58.173 https://www.360docs.net/doc/3313321098.html, internet address = 60.28.1.34 https://www.360docs.net/doc/3313321098.html, internet address = 115.236.151.141

网络层协议分析实验报告

1、网络层协议分析 1.A 数据包捕获分析部分 1.A.1、实验目的 1)、了解ICMP 协议报文类型及作用。 2）、理解IP协议报文类型和格式。 3）、分析ARP 协议的报文格式，理解ARP 协议的解析过程。 1.A.2、实验容介绍 1)、ICMP协议分析实验 执行ping 和tracert 命令，分别截获报文，分析截获的ICMP 报文类型和ICMP 报文格式，理解ICMP 协议的作用。 2)、IP协议分析实验 使用Ping 命令在两台计算机之间发送数据报，用Wireshark 截获数据报，分析IP 数据报的格式，理解IP V4 地址的编址方法，加深对IP 协议的理解。 3)、IP 数据报分片实验 我们已经从前边的实验中看到，IP 报文要交给数据链路层封装后才能发送。理想情况下，每个IP 报文正好能放在同一个物理帧中发送。但在实际应用中，每种网络技术所支持的最大帧长各不相同。例如：以太网的帧中最多可容纳1500 字节的数据，这个上限被称为物理网络的最大传输单元（MTU，MaxiumTransfer Unit）。 TCP/IP 协议在发送IP 数据报文时，一般选择一个合适的初始长度。当这个报文要从一个MTU 大的子网发送到一个MTU 小的网络时，IP 协议就把这个报文的数据部分分割成能被目的子网所容纳的较小数据分片，组成较小的报文发送。每个较小的报文被称为一个分片（Fragment）。每个分片都有一个IP 报文头，分片后的数据报的IP 报头和原始IP 报头除分片偏移、MF 标志位和校验字段不同外，其他都一样。 重组是分片的逆过程，分片只有到达目的主机时才进行重组。当目的主机收到IP 报文时，根据其片偏移和标志MF 位判断其是否一个分片。若MF 为0，片偏移为0，则表明它是一个完整的报文；否则，则表明它是一个分片。当一个报文的全部分片都到达目的主机时，IP 就根据报头中的标识符和片偏移将它们重新组成一个完整的报文交给上层协议处理。 4)、ARP协议分析实验 本次实验使用的Windows自带的Arp命令，提供了显示和修改地址解析协议所使用的地址映射表的功能。

简单网络管理协议(SNMP)学习理解

简单网络管理协议学习理解 1．SNMP网络管理协议综述 SNMP（Simple Network Management Protocol）是被广泛接受并投入使用的工业标准，它是由SGMP即简单网关监控协议发展以来的。它的目标是保证管理信息在任意两点中传送，便于网络管理员在网络上的任何节点检索信息，进行修改，寻找故障；完成故障诊断，容量规划和报告生成。它采用轮询机制，提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层协议UDP，受到许多产品的广泛支持。 2.1 管理信息 经由SNMP协议传输的所有管理倍息都表现为非聚集的对象类型。这些对象类型被收集到一个或多个管理信息库[MIB]中并且对象类型按照管理信息结构和标识(SMI)定义。简单网络管理协议策l版的sM[于1990年5月定义在一篇题为《基于因特网的了TCP／IP管理信息结构和标识》的RFC中。这一RFC要求所有的管理信息库数据和信息必须根据ISO 8824标准《抽象句法表示法1规范》(ASN．1)编码。按照ASN．1表示所有信息和对象的目的在于方便向OSI的网络管理协议迁移而无需重新定义现已存在的所有对象和MIB。 SMI为每一对象类型定义以下成分： ①名字； ②句法； ②编码说明。 注意：一个对象类型的名字明确地代表一个对象，称为对象标识符。不得分配标识符0给对象类型作为其名字的一部分。为便于阅读，在标准文档中对象标识符旁边包含对这一对象的描述。对象标识符是按照在OSI MIB树中建立的严格分层空间构造的，对象标识符总是一个唯一的从树根开始描述MIB树的整数序列。对象标识符和它的文字描述的组合称为标号。 2.1.1 管理树 SMI明确要求所有被管理的信息和数据都要由管理树来标识。这棵管理树来源于

snmp简单网络管理协议漏洞分析

snmp简单网络管理协议漏洞分析 字体: | 发表于: 2008-4-10 01:23 作者: menyuchun 来源: IXPUB技术博客 简单网络管理协议(SNMP)是一个 可以远程管理计算机和网络设备的协议. 有两种典型的远程监控模式. 他们可以粗略地分为"读"和"写"(或者是PUBLIC和PRIVATE). 如果攻击者能猜出一个PUBLIC团体串值, 那么他就可以从远程设备读取SNMP数据. 这个信息可能包括 系统时间,IP地址,接口,运行着的进程,etc等. 如果攻击者猜出一个PRIVATE团体串值 (写入或"完全控制", 他就有更改远程机器上信息的能力. 这会是一个极大的安全漏洞, 能让攻击者成功地破坏网络,运行的进程,ect. 其实,"完全控制"会给远程攻击者提供在主机上的完全管理权限. 更多信息请参见: ___________________________________________________________________ SNMP Agent responded as expected with community name: public CVE_ID : CAN-1999-0517, CAN-1999-0186, CAN-1999-0254, CAN-1999-0516

BUGTRAQ_ID : 11237, 10576, 177, 2112, 6825, 7081, 7212, 7317, 9681, 986 NESSUS_ID : 10264 Other references : IAVA:2001-B-0001 SNMP服务在UDP 161/162端口监听 用法:snmputil walk IP public [OID] [----------OID-----------------------含义-------] .1.3.6.1.2.1.25.4.2.1.2 获取系统进程 .1.3.6.1.4.1.77.1.2.25.1.1 获取用户列表 .1.3.6.1.4.1.77.1.4.1.0 获取域名 .1.3.6.1.2.1.25.6.3.1.2 获取安装的软件 .1.3.6.1.2.1.1 获取系统信息 -------------------------------------------------------------------- 扫描到的一个报告： . 端口"snmp (161/udp)"发现安全漏洞: Snmp口令: "public" . 端口"snmp (161/udp)"发现安全提示: sysDescr.0 = Draytek V3300 Advanced Router sysUpTime.0 = 3 Days, 1 Hours, 53 Minutes, 10 Seconds

ipv6协议分析实验报告

ipv6协议分析实验报告 篇一：ARP协议分析实验报告 计算机网络 实 验 报 告 学院年级 20XX 班级 4班 学号 3013218158 姓名闫文雄 20XX 年 6 月 17 日 目录 实验名称----------------------------------------------------------------------------------- 1 实验目标----------------------------------------------------------------------------------- 1 实验内容----------------------------------------------------------------------------------- 1 实验步骤---------------------------------------------------

-------------------------------- 1 实验遇到的问题及其解决方法-------------------------------------------------------- 1 实验结论----------------------------------------------------------------------------------- 1 一、实验名称 ARP协议分析 二、实验目标 熟悉ARP命令的使用，理解ARP的工作过程，理解ARP 报文协议格式 三、实验内容以及实验步骤： （局域网中某台计算机，以下称为A计算机） ARP（地址解析协议）： 地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 ARP是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答

网络协议分析实验报告

课程设计 课程设计题目网络协议分析实验报告学生姓名： 学号： 专业： 2014年 6 月 29日

实验1 基于ICMP的MTU测量方法 实验目的 1）掌握ICMP协议 2）掌握PING程序基本原理 3）掌握socket编程技术 4）掌握MTU测量算法 实验任务 编写一个基于ICMP协议测量网络MTU的程序，程序需要完成的功能： 1）使用目标IP地址或域名作为参数，测量本机到目标主机经过网络的MTU； 2）输出到目标主机经过网络的MTU。 实验环境 1）Linux系统； 2）gcc编译工具，gdb调试工具。 实验步骤 1.首先仔细研读ping.c例程，熟悉linux下socket原始套接字编程模式，为实验做好准备； 2.生成最大数据量的IP数据报（64K），数据部分为ICMP格式，ICMP报文为回送请求报 文，IP首部DF位置为1；由发送线程发送； 3.如果收到报文为目标不可达报文，减少数据长度，再次发送，直到收到回送应答报文。 至此，MTU测量完毕。

ICMP协议是一种面向无连接的协议，用于传输出错报告控制信息。它是一个非常重要的协议，它对于网络安全具有极其重要的意义。[1] 它是TCP/IP协议族的一个子协议，属于网络层协议，主要用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。ICMP报文在IP帧结构的首部协议类型字段（Protocol 8bit)的值=1.

ICMP原理 ICMP提供一致易懂的出错报告信息。发送的出错报文返回到发送原数据的设备，因为只有发送设备才是出错报文的逻辑接受者。发送设备随后可根据ICMP报文确定发生错误的类型，并确定如何才能更好地重发失败的数据包。但是ICMP唯一的功能是报告问题而不是纠正错误，纠正错误的任务由发送方完成。 我们在网络中经常会使用到ICMP协议，比如我们经常使用的用于检查网络通不通的Ping命令（Linux和Windows中均有），这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。 ICMP(Internet Control Message,网际控制报文协议)是为网关和目标主机而提供的一种差错控制机制，使它们在遇到差错时能把错误报告给报文源发方.是IP层的一个协议。但是由于差错报告在发送给报文源发方时可能也要经过若干子网，因此牵涉到路由选择等问题，所以ICMP报文需通过IP协议来发送。ICMP数据报的数据发送前需要两级封装：首先添加ICMP 报头形成ICMP报文，再添加IP报头形成IP数据报 通信术语最大传输单元（Maximum Transmission Unit，MTU）是指一种通信协议的某一层上面所能通过的最大数据包大小（以字节为单位）。最大传输单元这个参数通常与通信接口有关（网络接口卡、串口等）。 实验2 基于UDP的traceroute程序 实验目的 1）掌握UDP协议 2）掌握UDP客户机/服务器编程模式 3）掌握socket编程技术 4）掌握traceroute算法

简单网络管理协议SNMP

SNMP 1概述 (1) 2SNMP的工作原理 (1) 2.1网络管理模型 (1) 2.2网络管理协议结构 (2) 2.3网络管理服务 (3) 2.4委托代理 (4) 3管理信息结构SMI (4) 3.1ASN.1 (4) 3.2文本约定 (5) 3.3对象定义 (6) 3.4T RAP定义 (6) 3.5对象标志符 (7) 3.6表对象的定义 (8) 3.7对象和对象实例的区别 (10) 3.8OID的字典序 (10) 4协议数据单元（PDU--PROTOCOL DATA UNIT） (10) 4.1SNMP报文格式 (10) 4.2SNMP报文类型 (11) 4.3SNMP V2基本的PDU格式 (12) 4.4SNMP消息的生成 (13) 4.5SNMP消息的接受和处理 (13) 5SNMP协议操作 (15) 5.1G ET R EQUES T (15) 5.1.1GetRequest—PDU报文格式 (15) 5.1.2SNMPv2对GetRequest-PDU的处理（参考RFC1905） (15) 5.1.3SNMPv1对GetRequest-PDU的处理（参考RFC1157） (16) 5.2G ET N EXT R EQUEST—PDU (16) 5.2.1GetNextRequest报文格式 (17) 5.2.2SNMPv2对GeNextRequest-PDU的处理（参考RFC1905） (17)

5.2.3SNMPv1对GeNextRequest-PDU的处理（参考RFC1157） (18) 5.3R ESPONSE-PDU (18) 5.3.1Response报文格式 (18) 5.3.2SNMPv2对Response-PDU的处理（参考RFC1905） (20) 5.3.3SNMPv1对响应报文GetResponse的处理（参考RFC1157） (20) 5.4S ET R EQUES T-PDU (20) 5.4.1SetRequest报文格式 (20) 5.4.2SNMPv2实体对SetRequest报文的处理（参考RFC1905） (21) 5.4.3SNMPv1对SetRequest报文的处理（参考RFC1157） (22) 5.5G ET B ULK R EQUES T-PDU (23) 5.5.1GetBulkRequest-PDU报文格式 (23) 5.5.2SNMPv2对GetBulkRequest-PDU报文的处理（参考RFC1905） (24) 5.6I NFORM R EQUES T-PDU (25) 5.6.1InformRequest-PDU的格式 (25) 5.6.2SNMPv2对InformRequest-PDU的处理（参考RFC1905） (26) 5.7T RAP-PDU (26) 5.7.1SNMPv1的Trap (26) 5.7.2SNMPv2的SNMPv2-Trap-PDU (28) 6SNMP的安全控制 (29) 6.1SNMP V2-基于共同体的管理框架 (29) 6.2SNMP V3的安全策略 (30)

TCPIP协议分析试验报告

.. TCP/IP协议分析及应用实验报告 学号：姓名：班级： 实验项目编号： B03862704 实验项目名称：传输控制协议TCP 一、实验目的： 1. 掌握TCP协议的报文格式。 2. 掌握TCP连接的建立和释放过程。 3. 掌握TCP数据传输中编号与确认的过程。 4. 掌握TCP协议校验和的计算方法。 5. 理解TCP重传机制。 二、实验环境： Windows server 2003 TCP/IP协议分析及应用教学实验平台 三、实验原理（或要求）： TCP报文格式 16位源端口号 16位目的端口号 位序号32 位确认序号32F P U A R S 4位首6保留（16I 位窗口大小 C 部长R S S Y 位）N N T G K H 度位紧急指针16位校验和16 选项数据 连接的建立TCP在面向连接的环境中，开始传输数据之前，在两个终 TCP是面 向连接的协议。通信双方必须用彼此的初端之间必须先建立一个连接。对于一个 要建立的连接，（指明希望收到的下一个ackseq始化序列号和来自对方成功传输 确认的应答号。ACK，应答信号写为八位组的编号）来同步，习惯上将同步信 号写为SYN整个同步的过程称为三次握手，如图： 优质范文．

连接的释放TCP附加标记的报FINTCP使用四次握手来结束通话（使用一个带有对于一个已经建立的连接，如图。文段） TCP重传机制只要计时器设置的重传时间到期，就对这个报文段设置一次计时器。TCP每发送一个报文段，但还没有收到确认，就要重传这一报文段。

优质范文． .. 四、实验步骤： 练习一：察看TCP连接的建立和释放 主机B、C、D启动协议分析器进行数据捕获,并设置过滤条件（提取TCP协议）。主机A启动仿真编辑器，进入TCP连接视图。在“服务器信息/IP地址”中填入主机C的IP地址；使用“端口扫描”获取主机C的TCP端口列表，在“服务器信息/端口”中填入主机C的一个TCP端口(大于1024)；点击“连接”按钮进行连接。 察看主机B、C、D捕获的数据，填写下表。 字段名称报文1 报文2 报文3 Sequence Number Acknowledgement Number ACK SYN TCP连接建立时，前两个报文的首部都有一个“maximum segment size”字段，它的值是多少？作用是什么？结合IEEE802.3协议规定的以太网最大帧长度分析此数据是怎样得出的。 主机A断开与主机C的TCP连接。 察看主机B、C、D捕获的数据，填写下表。

实验二数据链路层协议分析

实验二以太网链路层帧格式分析一实验目的 1、分析EthernetV2标准规定的MAC层帧结构，了解IEEE802.3标准规定的 MAC层帧结构和TCP/IP的主要协议和协议的层次结构。 2、掌握网络协议分析软件的基本使用方法。 3、掌握网络协议编辑软件的基本使用方法。 二实验内容 1、学习网络协议编辑软件的各组成部分及其功能； 2、学习网络协议分析软件的各组成部分及其功能； 3、学会使用网络协议编辑软件编辑以太网数据包； 4、理解MAC地址的作用； 5、理解MAC首部中的LLC—PDU长度/类型字段的功能； 6、学会观察并分析地址本中的MAC地址。 三实验环境 回2.1- L 四实验流程 小亠| /I J ■ v 开始

结束 图21 2| 五实验原理 在物理媒体上传输的数据难免受到各种不可靠因素的影响而产生差错，为了弥补物理层上的不足，为上层提供无差错的数据传输，就要能对数据进行检错和纠错。数据链路的建立、拆除、对数据的检错，纠错是数据链路层的基本任务。 局域网（LAN）是在一个小的范围内，将分散的独立计算机系统互联起来，实现资源的共享和数据通信。局域网的技术要素包括了体系结构和标准、传输媒体、拓扑结构、数据编码、媒体访问控制和逻 辑链路控制等，其中主要的技术是传输媒体、拓扑结构和媒体访问控制方法。局域网的主要的特点是：地理分布范围小、数据传输速率高、误码率低和协议简单等。 1、三个主要技术 1）传输媒体：双绞线、同轴电缆、光缆、无线。 2）拓扑结构：总线型拓扑、星型拓扑和环型拓扑。 3）媒体访问控制方法：载波监听多路访问/冲突检测（CSMA/CD技术 2、IEEE 802标准的局域网参考模型 IEEE 802参考模型包括了OSI/RM最低两层(物理层和数据链路层)的功能，OSI/RM 的数据链路层功能，在局域网参考模型中被分成媒体访问控制 MAC(Medium Access Control) 和逻辑链路控制LLC(Logical Link Control)两个子层。由于局域网采用的媒体有多种，对应的媒体访问控制方法也有多种，为

ip协议实验

竭诚为您提供优质文档/双击可除 ip协议实验 篇一：实验三ip协议分析实验 实验报告 班级：0906401姓名：吴朋发学号：36实验日期：评分：_____________ 1.实验名称 ip协议分析实验2.实验学时 2学时3.实验类型 设计型4.实验目的 1、分析ip基本ip报头结构，给出每一个字段的值及其含义，加深对ipV4协议理解。 2、分析http报头结构 3、分析tcp、ip、http封装关系5.实验内容 借助于网络分析议etherreal捕获http、tcp、ip报文，分析ip报文头结构，理解其具体意义。6.实验原理网络实验室40台学生机组成一个局域网络，并连接学校校园网络，每台主机均能通过校园网络实现对internet 的访问。学生机所装操作系统均为windows20xxserver。7.实验步骤（包括实验原始记录、实验数据处理、结果分析）

步骤1：认真阅读文档《ethreal的使用方 法》，熟练掌握windows下ethereal的使用方法。 步骤2：在学生机上启动etherreal软件进行报文截获，然后在ie浏览器上输入，分析截获的http报文、tcp报文，试找出http协议数据包，并进行分析，研究主窗口中的数据报文列表窗口和协议树窗口信息，填写下表。 步骤3：找出对应的ip报文，试分析ip数据报文头中各字段值的含义，并填入下表 步骤4：分析aRp报文结构：选中第一条aRp请求报文和第一条aRp应答报文，将aRp请求报文和aRp应答报文中的字段信息填入下表。 步骤5：根据实验截获的报文写出aRp协议在同一网段内的解析过程。 步骤6：综合分析截获的数据报文，概括http协议的工作过程（从在浏览器上输入 步骤7：选择一条计算机发出的dns请求报文和对应的dns应答报文，填写下表。 步骤8：简述dns域名解析的过程。 1、当客户机提出查询请求时，首先在本地计算机的缓存中查找。 2、客户机将域名查询请求发送到本地dns服务器,。 3、如果本地服务器不能在本地找到客户机查询的信息，

实验七 网络层协议分析

实验七网络层协议分析 （2 学时） 一、实验题目：网络层协议分析 二、实验目的 1、分析ARP协议报文首部格式，分析并掌握ARP协议在同一网段内和不同网段间的解析过程。 2、掌握ARP高速缓存的作用。 2、分析ICMP报文格式和协议内容并了解其应用。 3、分析IP报文的首部格式并了解其各个字段的意义。 三、实验原理 ARP是用于将IP地址解析成硬件地址的协议。在每台使用ARP的主机中，都保留了一个专用的内存（称为缓存），存放最近的IP地址与硬件地址的对应关系。 1、同一网段的ARP解析过程 处在同一网段或不同网段的主机进行通信时，利用ARP协议进行地址解析的过程不同。在同一网段内通信时，如果在ARP缓存中查找不到对方主机的硬件地址，则源主机直接发送ARP请求报文，目的主机对此请求报文作出应答即可。 2、不同网段的ARP解析过程 位于不同网段的主机进行通信时，源主机只需要将报文发送给它的默认网关，即只查找或解析自己的默认网关地址即可。 四、实验内容 1、构建网络拓扑，分析同一网段和不同网段ARP的解析过程。 2、结合一个报文，分析IP协议报文格式。 3、结合截获的报文，分析ICMP报文的格式。 五、实验步骤 1、ARP报文分析 a、同一网段的ARP协议分析 （1）连接好实验设备，配置各主机 主机pc0：192.168.0.101 255.255.255.0 主机pc1：192.168.0.103 255.255.255.0

。 （2）在pc0、pc1的命令行窗口中执行以下命令 C:\arp -a 结果是------------------------------------------------------------ 如果缓存非空，可以执行arp -d命令，清空ARP缓存。 （3）在pc0、pc1上运行截获报文软件。在pc0的命令行窗口中执行 ping 192.168.0.103命令。执行完之后，停止pc0、pc1上的截获报文软件。将此次结果命名为ping1。 （4）在pc0、pc1的命令行窗口中执行以下命令： C:\arp -a 结果是----------------------------------------------------------- （5）重复步骤（3）。将此次结果命名为ping2。 （6）分析上述截获的ping1文件，完成以下工作：